Jeg forsøger at indfange tcpdump for trafik til en havn i en fil, men det lader ikke til at fange alle de pakker. Command jeg bruge er:

tcpdump-w tdump.dat port 22

Hvorfor er det ikke indfange alle de pakker?

Her er mit eksperiment:
root @ pmode-client6 ADC-demo] # tcpdump port 22
tcpdump: lytter på eth0
00:06:45.290838 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 4216814594 win 65415 (DF)
00:06:45.290865 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1:69 (68) ack 0 win 11792 (DF) [tos 0x10]
00:06:45.995979 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1:69 (68) ack 0 win 11792 (DF) [tos 0x10]
00:06:46.394715 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 69 win 65347 (DF)
00:06:46.394750 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 69:513 (444) ack 0 win 11792 (DF) [tos 0x10]
00:06:46.795739 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 513 win 64903 (DF)
00:06:46.795751 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 513:809 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:47.300580 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 809 win 64607 (DF)
00:06:47.300590 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 809:1105 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:47.697982 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 1105 win 64311 (DF)
00:06:47.697993 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1105:1401 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:48.106128 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 1401 win 65535 (DF)
00:06:48.106137 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1401:1697 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:48.598476 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 1697 win 65239 (DF)
00:06:48.598483 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1697:1993 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.007872 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 1993 win 64943 (DF)
00:06:49.007884 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 1993:2289 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.512090 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 2289 win 64647 (DF)
00:06:49.512100 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 2289:2585 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.913489 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 2585 win 64351 (DF)
00:06:49.913496 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 2585:2881 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:50.315388 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 2881 win 65535 (DF)
00:06:50.315401 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 2881:3177 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:50.813982 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 3177 win 65239 (DF)
00:06:50.813989 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 3177:3473 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:51.042979 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh: P 0:88 (88) ack 3177 win 65239 (DF)

26 pakker modtaget af filter
0 packets faldt med kerne

[root @ pmode-client6 ADC-demo] # tcpdump-w tdump.dat port 22
tcpdump: lytter på eth0

6 pakker modtaget af filter
0 packets faldt med kerne
[root @ pmode-client6 ADC-demo] # tcpdump-r tdump.dat port 22
00:08:56.741761 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 4216835054:4216835106 (52) ack 3917910214 win 11792 (DF) [tos 0x10]
00:08:57.157589 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 52 win 65483 (DF)
00:08:57.157610 172.21.76.96.ssh> sjc-vpn6-65.cisco.com.2654: P 52:120 (68) ack 1 win 11792 (DF) [tos 0x10]
00:08:57.562987 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ack 120 win 65415 (DF)
00:09:06.055469 sjc-vpn6-65.cisco.com.2654> 172.21.76.96.ssh: P 1:89 (88) ack 120 win 65415 (DF)

Både kommandoer blev gennemført i 10 sek. Faktisk Jeg har kørt kommandoen med-w option for 15 sekunder, men stadig de hentede pakker på lossepladsen er der kun 6 i forhold til 26 pakker uden filen gemme indstilling. En eller anden grund? Hvad jeg kan jeg gøre for at fange alle?

-Satish

Du kan bruge snuse til at indfange pakker

tjekke mand sider for detaljer

# Snoop-x0 port 22

Dette er ikke det svar jeg søger. Jeg tror tcpdump er et udbredt gratis hjælpeprogram til at indfange netværk pakker i en fil. Kan en andens opdatere mig på at bruge tcpdump til at indfange alle de pakker i en fil?

I fremtiden, hvis du ønsker gode svar på dine spørgsmål, er du ikke bruger små skrifttyper eller farvet skrifttyper.

Jeg hører til dem, skal du finde din originale post meget vanskeligt at læse. Jeg tror, de fleste læsere vil hurtigt gå til "næste post", når de støder på en post, der er et øje stamme

Lyder som nogle flaskehals i systemet, måske et problem med buffere. Forsøge

# tcpdump -l port 22 | tee tdump.dat

Jeg fik over problemet. Faktisk, når du vise ssh dump over en ekstern skærm, selv bytes overført til skærmen vil blive fanget og vil resultere i flere pakker i tcpdump i forhold til, hvis vi ønsker at køre tcpdump bare på værten.